當(dāng)考慮確定計(jì)算系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)的可用性和完整性控制時(shí),與可考慮潛在機(jī)會(huì)授權(quán)的管理員相比,普通用戶擁有更少的特權(quán)。系統(tǒng)管理員、執(zhí)行備份的操作人員、數(shù)據(jù)庫(kù)管理員、維修技師甚至幫助臺(tái)支持人員的運(yùn)營(yíng)商,都紛紛在網(wǎng)絡(luò)中提升權(quán)限。為了確保你系統(tǒng)的安全性,還必須考慮可以防止管理員濫用特權(quán)的控制。用于管理日常事務(wù)以及組織內(nèi)的數(shù)據(jù)訪問(wèn)的自動(dòng)化控制不能保證自己的完整性和可用性,避免過(guò)度管理任務(wù)的控制。如果控制管理使用權(quán)限的控件也不強(qiáng),那么任何其他的控件也會(huì)被削弱。下面一起來(lái)看企業(yè)安全管理的“六脈神劍”——六個(gè)最佳實(shí)踐:
實(shí)踐一:防止權(quán)力的濫用行政權(quán)力
安全的兩個(gè)安全原則將幫助你避免權(quán)力得濫用:限制權(quán)力及職責(zé)的分離。你可以限制權(quán)力,通過(guò)分配每個(gè)員工他或她所做工作需要的權(quán)限。在你的IT基礎(chǔ)架構(gòu),你有不同的系統(tǒng),并且每個(gè)人都可以自然地分割成不同的權(quán)限類別。這種分割的例子是網(wǎng)絡(luò)基礎(chǔ)設(shè)施、存儲(chǔ)、服務(wù)器、臺(tái)式機(jī)和筆記本電腦。
另一種分配權(quán)力的方式是在服務(wù)管理和數(shù)據(jù)管理之間。服務(wù)管理是控制網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施,如域控制器和其他中央管理服務(wù)器。這些管理員在管理專門的服務(wù)器,在這些服務(wù)器上控件運(yùn)行、將部分用戶分成組、分配權(quán)限等等。數(shù)據(jù)管理,在另一方面,是有關(guān)管理文件、數(shù)據(jù)庫(kù)、Web內(nèi)容和其他服務(wù)器的。即使在這些結(jié)構(gòu)中,權(quán)力可以被進(jìn)一步細(xì)分,也就是說(shuō),角色可以被設(shè)計(jì)和權(quán)限可以被限制。文件服務(wù)器備份操作員不應(yīng)該有特權(quán)備份數(shù)據(jù)庫(kù)服務(wù)器相同的個(gè)體。數(shù)據(jù)庫(kù)管理員也可能被某些服務(wù)器限制其權(quán)力,與文件和打印服務(wù)器管理員一樣。
在大型組織中,這些角色可以無(wú)限細(xì)分,一些幫助臺(tái)運(yùn)營(yíng)商可能有權(quán)重設(shè)賬戶和密碼,而其他人只限于幫助運(yùn)行應(yīng)用程序。我們的目標(biāo)是要認(rèn)識(shí)到,提升權(quán)限的所有管理員必須是可信的,而有些人比其他人更應(yīng)該得到信任。誰(shuí)擁有全部或廣泛的權(quán)限越少,那么可以濫用這些特權(quán)的人就越少。
實(shí)踐二:確定管理規(guī)范
以下管理實(shí)踐有助于管理安全性:
· 在遠(yuǎn)程訪問(wèn)和訪問(wèn)控制臺(tái)和管理端口上放置控件。
· 實(shí)現(xiàn)帶外訪問(wèn)控制設(shè)備,如串行端口和調(diào)制解調(diào)器,物理控制訪問(wèn)敏感設(shè)備和服務(wù)器。
· 限制哪些管理員可以物理訪問(wèn)這些系統(tǒng),或誰(shuí)可以在控制臺(tái)登錄。不能因?yàn)楣蛦T有行政地位,就意味著不能限制他或她的權(quán)力。
· 審查管理員。IT管理員在一個(gè)組織的資產(chǎn)上擁有巨大的權(quán)力。每一個(gè)擁有這些權(quán)限的IT員工應(yīng)在就業(yè)前徹底檢查,包括征信調(diào)查和背景調(diào)查。
· 使用自動(dòng)軟件分發(fā)方法。使用自動(dòng)化的操作系統(tǒng)和軟件的安裝方法既保證了標(biāo)準(zhǔn)的設(shè)置和安全配置,從而防止意外的妥協(xié),也是抑制權(quán)力濫用的一個(gè)很好的做法。當(dāng)系統(tǒng)自動(dòng)安裝和配置,后門程序的安裝和其他惡意代碼或配置發(fā)生的機(jī)會(huì)就越來(lái)越少。
· 使用標(biāo)準(zhǔn)的行政程序和腳本。使用腳本可能意味著效率,但是如果使用了流氓腳本就可能意味著破壞系統(tǒng)。通過(guò)標(biāo)準(zhǔn)化的腳本,濫用的機(jī)會(huì)較少。腳本也可以被數(shù)字簽名,這可以確保只有授權(quán)的腳本能夠運(yùn)行。
實(shí)踐三:做好權(quán)限控制
這些控制包括:
· 驗(yàn)證控制:密碼、賬戶、生物識(shí)別、智能卡以及其他這樣的設(shè)備和算法,充分保護(hù)認(rèn)證實(shí)踐
· 授權(quán)控制:設(shè)置和限制特定用戶的訪問(wèn)設(shè)備和組
如果使用得當(dāng),賬戶、密碼和授權(quán)控制可以派專人負(fù)責(zé)他們網(wǎng)絡(luò)上的行為。正確使用是指至少每個(gè)員工的一個(gè)賬戶可授權(quán)使用系統(tǒng)。如果兩個(gè)或更多的人共用一個(gè)賬號(hào),你怎么能知道哪一個(gè)該為公司機(jī)密失竊負(fù)責(zé)?強(qiáng)密碼策略和職工教育也有助于執(zhí)行該規(guī)則。當(dāng)密碼是難以猜測(cè)的和員工知道密碼是不應(yīng)該被共享的,適當(dāng)?shù)膯?wèn)責(zé)制的可能性才會(huì)更大。
授權(quán)控制確保對(duì)資源的訪問(wèn)和權(quán)限被限制在適當(dāng)?shù)娜诉x。例如,如果只有Schema Admins組的成員可以在Windows 2000下修改Active Directory架構(gòu),而且架構(gòu)被修改,那么無(wú)論是該組的成員做的還是別人使用該人的賬戶做的。
在一些有限的情況下,系統(tǒng)被設(shè)置為一個(gè)單一的、只讀的活動(dòng),許多員工需要訪問(wèn)。而不是提供每一個(gè)人一個(gè)賬戶和密碼,使用一個(gè)賬戶和限制訪問(wèn)。這種類型的系統(tǒng)可能是一個(gè)倉(cāng)庫(kù)的位置信息亭,游客信息亭等。但是,在一般情況下,系統(tǒng)中的每個(gè)賬戶應(yīng)該僅分配給一個(gè)單獨(dú)的個(gè)人。
所有的行政人員應(yīng)至少有兩個(gè)賬戶:一個(gè)普通特權(quán)的“正常”賬戶供他們?cè)L問(wèn)電子郵件、查找互聯(lián)網(wǎng)上的信息、并做其他事情時(shí)使用;和不同的賬戶,他們可以用它來(lái)履行行政職責(zé)。
對(duì)于一些高權(quán)限的活動(dòng),一個(gè)賬戶可能被分配特權(quán),但是應(yīng)該由兩個(gè)值得信賴的員工各創(chuàng)造一半的密碼。兩者都不能單獨(dú)執(zhí)行該活動(dòng),它需要兩者共同來(lái)做。此外,由于有可能被追究責(zé)任,每人都會(huì)監(jiān)視對(duì)方履行義務(wù)。這種技術(shù)通常用于在Windows服務(wù)器上保護(hù)原始管理員賬戶。此賬戶也可以被分配一個(gè)長(zhǎng)而復(fù)雜的密碼,然后不能使用,除非當(dāng)關(guān)鍵管理人員離開公司或其他一些突發(fā)事件發(fā)生后,管理賬戶的密碼忘記或丟失時(shí)不得不恢復(fù)服務(wù)器。然后其他管理賬戶被創(chuàng)建并用于正常管理。另一個(gè)特別賬戶可能是根證書頒發(fā)機(jī)構(gòu)的管理賬戶。當(dāng)需要使用這個(gè)賬戶,比如更新此服務(wù)器的證書,兩名IT員工必須同時(shí)在場(chǎng)登錄,減少該賬戶受到損害的機(jī)會(huì)。
實(shí)踐四:獲取外部信息作為內(nèi)部管理借鑒
安全專家面臨緊跟當(dāng)前安全形勢(shì)的艱巨任務(wù)。你應(yīng)該及時(shí)了解當(dāng)前威脅和適用于你組織的核心業(yè)務(wù)流程和高價(jià)值目標(biāo)相應(yīng)的保護(hù)措施。
你可以從眾多資源中汲取更多以了解當(dāng)前的威脅環(huán)境。領(lǐng)先的安全廠商,包括Symantec,該公司出版了年度互聯(lián)網(wǎng)安全威脅報(bào)告;McAfee 實(shí)驗(yàn)室,它提供了一個(gè)季度的威脅報(bào)告; IBM X-Force,產(chǎn)生了威脅和風(fēng)險(xiǎn)趨勢(shì)報(bào)告;以及思科,該公司出版了安全威脅白皮書,他們都用有效資源不斷更新有威脅的環(huán)境。此外,還有一些提供威脅情報(bào)的各種組織,包括卡內(nèi)基•梅隆大學(xué)軟件工程研究所( CERT ) ,它研究的Internet安全漏洞,并進(jìn)行長(zhǎng)期的安全性研究;美國(guó)政府的應(yīng)急準(zhǔn)備小組( US-CERT ) ,它提供技術(shù)安全警報(bào)和公告; SANS協(xié)會(huì),發(fā)布頂端的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)列表;和計(jì)算機(jī)安全協(xié)會(huì)( CSI),其出版年度計(jì)算機(jī)犯罪和安全調(diào)查。除了這些資源,專業(yè)協(xié)會(huì),如國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟( ISC2 )提供廠商中立的培訓(xùn)、教育和認(rèn)證,包括為安全專業(yè)開展的CISSP 。信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA )從事開發(fā)、采納和使用全球公認(rèn)的,業(yè)界領(lǐng)先的知識(shí)和實(shí)踐信息系統(tǒng),如COBIT標(biāo)準(zhǔn)和CISA認(rèn)證信息系統(tǒng)。
對(duì)于已確定的各項(xiàng)資產(chǎn),你必須為執(zhí)行建議的保護(hù)措施負(fù)責(zé)。安全專業(yè)人員所遇到的問(wèn)題是如何知道什么時(shí)候一個(gè)系統(tǒng)或應(yīng)用程序需要一個(gè)修補(bǔ)程序或補(bǔ)丁應(yīng)用。大多數(shù)供應(yīng)商為安全更新、提供安全警示,以及一個(gè)維護(hù)訂閱被購(gòu)買的信息提供一個(gè)郵件列表。市面上有許多安全郵件列表,但近年來(lái)最流行的是Bugtraq和Insecure.org提供的Full Disclosure名單。請(qǐng)記住,最新的漏洞和黑客不在任何網(wǎng)站上發(fā)表,廠商也不能意識(shí)到“零日漏洞”,直到攻擊發(fā)生。但是訂閱這些郵件列表,將隨時(shí)向你通報(bào),就像任何人都可以被通知一樣。
實(shí)踐五:實(shí)施安全監(jiān)控與審計(jì)
系統(tǒng)監(jiān)控和審計(jì)活動(dòng)很重要的原因有兩個(gè)。首先,監(jiān)測(cè)活動(dòng)告知系統(tǒng)管理員系統(tǒng)的操作方式,系統(tǒng)故障在哪里,在什么地方性能是一個(gè)問(wèn)題,什么類型的負(fù)載系統(tǒng)在任何給定的時(shí)間負(fù)荷著大量負(fù)載。這些細(xì)節(jié)允許被適當(dāng)?shù)木S護(hù)和發(fā)現(xiàn)性能瓶頸,并且指出進(jìn)一步調(diào)查的領(lǐng)域是很有必要的。聰明的管理員使用一切可能的工具來(lái)確定一般的網(wǎng)絡(luò)和系統(tǒng)的健康,然后采取相應(yīng)的行動(dòng)。其次,安全性感興趣是可疑活動(dòng)的暴露,正常和非正常使用的審核跟蹤,以及法醫(yī)證據(jù)在診斷攻擊或誤用時(shí)是非常有用的,這樣有可能捕捉和起訴攻擊者?梢苫顒(dòng)包括明顯的癥狀,如已知的攻擊代碼或簽名,或可能的模式是有經(jīng)驗(yàn)的,意味著可能嘗試或成功的入侵。
從日志中提供的信息和從其他監(jiān)測(cè)技術(shù)中受益,你必須了解信息可用的類型以及如何獲得它。你還必須知道如何處理它。三種類型的信息是有用的:
· 活動(dòng)日志
· 系統(tǒng)和網(wǎng)絡(luò)監(jiān)控
· 漏洞分析
1. 審計(jì)活動(dòng)日志
每個(gè)操作系統(tǒng)、設(shè)備和應(yīng)用程序可以提供大量的日志記錄活動(dòng)。不過(guò),管理員這樣做必須做出記錄多少活動(dòng)的決定。默認(rèn)登錄信息的范圍各不相同,什么東西可記錄,應(yīng)該用來(lái)記錄什么,這沒(méi)有明確的答案。答案取決于活動(dòng)和日志記錄的原因。
當(dāng)檢查日志文件時(shí),了解哪些內(nèi)容需要被記錄,而哪些內(nèi)容不重要。日志中包含的信息因日志的類型、事件的類型、操作系統(tǒng)和產(chǎn)品、是否可以選擇額外的事情以及數(shù)據(jù)的類型而變化。此外,如果你正在尋找“誰(shuí)”參加了此次活動(dòng),或者他們使用了“什么”機(jī)器,這些信息可能會(huì)或可能不會(huì)是日志的一部分。Windows Server 2003之前的Windows事件日志,例如,不包括計(jì)算機(jī)的IP地址,只有主機(jī)名。和Web服務(wù)器日志不包括確切信息,無(wú)論它們是什么品牌。很多Web活動(dòng)通過(guò)代理服務(wù)器,所以你會(huì)發(fā)現(xiàn),雖然你知道網(wǎng)絡(luò)來(lái)源,但不知道來(lái)自具體的哪個(gè)系統(tǒng)。
在確定是什么日志的時(shí)候,一般情況下,你必須回答以下問(wèn)題:
· 什么是默認(rèn)登錄?這不僅包括典型的安全信息,如成功和不成功登錄或訪問(wèn)文件,而且還包括在系統(tǒng)上運(yùn)行服務(wù)和應(yīng)用程序的行為。
· 信息被記錄哪里在?這可能會(huì)記錄到多個(gè)位置。
· 隨著添加的信息,日志文件的大小是無(wú)限的增長(zhǎng)還是應(yīng)當(dāng)設(shè)置文件大?如果是后者,那么日志文件已滿的時(shí)候又怎么辦?
· 可以記錄哪些類型的附加信息?你又怎么選擇這些選項(xiàng)呢?
· 什么時(shí)候需要特定的日志活動(dòng)?在一些環(huán)境下,記錄特定的項(xiàng)目是合適的,但對(duì)其他環(huán)境卻不合適?適合某些服務(wù)器,但不適合其他服務(wù)器?適合服務(wù)器,但卻不適合桌面系統(tǒng)?
· 應(yīng)歸檔哪些日志和應(yīng)歸檔保存多長(zhǎng)時(shí)間?
· 如何讓記錄免受意外或惡意修改或篡改?
不是每一個(gè)操作系統(tǒng)或應(yīng)用程序日志記錄相同類型的信息。知道配置什么,在哪里可以找到日志,日志中的哪些信息在需要了解具體的系統(tǒng)時(shí)是有用的。綜觀在一個(gè)系統(tǒng)中的示例日志是非常有用的,然而,因?yàn)樗x予問(wèn)題類型許多含義,所以這些問(wèn)題你需要問(wèn)和回答。Windows和Unix日志是不同的,但是對(duì)于二者,你可能要能夠識(shí)別誰(shuí)、什么、何時(shí)、何地以及為什么事情會(huì)發(fā)生。下面的例子討論Windows日志。
在Windows NT、XP、Windows2000、Vista和Windows7中,默認(rèn)情況下,Windows的審計(jì)日志是關(guān)閉的。Windows Server 2003和更高版本有一些審計(jì)日志功能在默認(rèn)情況下是打開的,可以被記錄的事情都顯示在圖1。管理員可以打開所有或某種可用類別的安全日志記錄并且可以通過(guò)直接指定對(duì)象訪問(wèn)注冊(cè)表、目錄和文件系統(tǒng)設(shè)置額外的安全記錄。甚至可以使用組策略(本機(jī)的配置,安全性,應(yīng)用程序的安裝和腳本庫(kù)的實(shí)用程序)為Windows 2000或Windows Server 2003域的所有服務(wù)器和臺(tái)式機(jī)設(shè)定審計(jì)要求。
什么時(shí)候使用Windows Server 2003,了解記錄什么是很重要的,因?yàn)閃indows Server 2003默認(rèn)策略值記錄了只有小數(shù)目的活動(dòng)。不用說(shuō),打開所有的日志類別也是不合適的。例如,在Windows安全審核,分類審核過(guò)程跟蹤將不適用于大多數(shù)生產(chǎn)系統(tǒng),因?yàn)樗涗浟嗣恳粋(gè)過(guò)程活動(dòng)中的每一個(gè)位,而對(duì)于正常驅(qū)動(dòng)器配置和審計(jì)日志審查來(lái)說(shuō),則存在著過(guò)多的信息。然而,在開發(fā)環(huán)境或者當(dāng)審查定制軟件以確定它說(shuō)了什么做了什么時(shí),開啟審核過(guò)程追蹤可能為開發(fā)商排除故障代碼或分析檢查它提供了必要信息的數(shù)量。
記錄在每一個(gè)Windows NT(及更高版本)計(jì)算機(jī)的特殊本地安全事件日志的審核事件是配置審核的安全事件。事件日志位于%WINDIR%\ SYSTEM32\ config文件夾下。除了安全事件,許多可能會(huì)提供安全性或活動(dòng)跟蹤信息的其他事件也會(huì)記錄到應(yīng)用程序日志、系統(tǒng)日志或者Windows 2000和更高版本的域控制器——DNS服務(wù)器日志、目錄服務(wù)日志、或文件復(fù)制服務(wù)日志中。
此外,許多進(jìn)程提供額外的日志記錄功能。例如,如果安裝了DHCP服務(wù),它也可以被配置為記錄的附加信息,例如當(dāng)它租用一個(gè)地址,在域中它是否被授權(quán),以及網(wǎng)絡(luò)中的另一臺(tái)DHCP服務(wù)器是否被發(fā)現(xiàn)。這些事件不會(huì)記錄在安全事件日志,而是DHCP事件記錄到%WINDIR%\ SYSTEM32\ DHCP。
Windows審計(jì)日志選項(xiàng)
通常情況下,你可以打開記錄了許多服務(wù)和應(yīng)用程序的額外的日志,而這一活動(dòng)被記錄到Windows事件日志、系統(tǒng)或應(yīng)用程序日志、或者服務(wù)或應(yīng)用程序創(chuàng)建的特殊的日志中。微軟的IIS遵循這種模式,和Microsoft服務(wù)器應(yīng)用程序如Exchange,SQL Server和ISA服務(wù)器一樣。聰明的系統(tǒng)管理員以及審計(jì)員,將決定在Windows網(wǎng)絡(luò)系統(tǒng)上運(yùn)行什么,什么日志記錄功能可用于每個(gè)服務(wù)或應(yīng)用程序。雖然大多數(shù)的日志信息,僅涉及系統(tǒng)或應(yīng)用程序操作,但它可能成為一個(gè)取證調(diào)查的一部分,如果它是必要或保證其重建活動(dòng)的。記住這包括什么信息被記錄在每個(gè)系統(tǒng)上以及被記錄到哪里。
許多特殊的應(yīng)用程序日志中是基本的文本文件,但是特殊的“事件日志”卻不是。這些文件有自己的格式,你可以管理訪問(wèn)它們。雖然任何應(yīng)用程序可以通過(guò)編寫事件記錄到這些日志文件,但是在日志中,事件無(wú)法修改或刪除。
事件日志本身不自動(dòng)存檔,它們必須給定一個(gè)大小,他們可以覆蓋舊的事件,停止記錄直到手動(dòng)清零,或者在安全選項(xiàng)中,當(dāng)日志文件已滿時(shí)停止系統(tǒng)。最佳實(shí)踐建議建立一個(gè)龐大的日志文件,并允許事件被覆蓋,但對(duì)這些完整文件的監(jiān)控和頻繁的歸檔,所以沒(méi)有記錄丟失。
早期的安全和系統(tǒng)管理員的建議強(qiáng)調(diào),日志必須每天進(jìn)行審查,并假設(shè)有時(shí)間這樣做。我們現(xiàn)在知道,除非在特殊情況下這不會(huì)發(fā)生,F(xiàn)在在采取下列行動(dòng)的最佳實(shí)踐建議:
· 發(fā)表日志數(shù)據(jù)到外部服務(wù)器。
· 日志整合到一個(gè)中央源。
· 應(yīng)用過(guò)濾器或查詢來(lái)產(chǎn)生有意義的結(jié)果。
發(fā)布日志數(shù)據(jù)到外部服務(wù)器有助于保護(hù)日志數(shù)據(jù)。如果服務(wù)器被攻破,攻擊者也無(wú)法修改本地日志和掩蓋他們的蹤跡。日志整合到一個(gè)中央源,使數(shù)據(jù)更易于管理,因?yàn)椴樵冎恍枰獙?duì)一個(gè)批次的數(shù)據(jù)運(yùn)行處理。Unix的系統(tǒng)日志工具,使用的時(shí)候,可以讓你將日志數(shù)據(jù)張貼和鞏固到一個(gè)中央系統(tǒng)日志服務(wù)器。一個(gè)版本的系統(tǒng)日志也可用于Windows。
其他技術(shù)日志整合的例子包括
· 收集安全事件日志的副本并定期將他們歸檔到一個(gè)數(shù)據(jù)庫(kù)中,然后開發(fā)SQL查詢以完成報(bào)告或使用現(xiàn)成的產(chǎn)品直接對(duì)特定類型的日志查詢這個(gè)數(shù)據(jù)庫(kù)。
· 投資于第三方安全管理工具,讓它可以收集和分析特定類型的日志數(shù)據(jù)
· 使用安全信息和事件管理(SIEM)系統(tǒng)從許多來(lái)源——安全日志、Web服務(wù)器日志、IDS日志等來(lái)收集日志數(shù)據(jù)和警報(bào)。
· 使用系統(tǒng)管理工具或服務(wù)管理平臺(tái)或服務(wù)的日志管理功能。
2. 監(jiān)控系統(tǒng)和網(wǎng)絡(luò)活動(dòng)
除了記錄數(shù)據(jù),系統(tǒng)和網(wǎng)絡(luò)活動(dòng)可以提醒有見(jiàn)識(shí)的管理員潛在的問(wèn)題。系統(tǒng)和網(wǎng)絡(luò)應(yīng)進(jìn)行監(jiān)測(cè),不僅在修復(fù)關(guān)鍵系統(tǒng)和性能瓶頸的調(diào)查和解決時(shí),也在你知道一切都好,或者攻擊正在進(jìn)行中。是由于硬盤崩潰無(wú)法訪問(wèn)系統(tǒng)?還是拒絕服務(wù)攻擊的結(jié)果?為什么今天會(huì)從一個(gè)忙碌的網(wǎng)絡(luò)出現(xiàn)突然激增的數(shù)據(jù)包?
有些SIEM工具還尋求提供網(wǎng)絡(luò)活動(dòng)的圖片,以及系統(tǒng)活動(dòng)的許多管理工具的報(bào)告。此外,IDS系統(tǒng)、協(xié)議分析者可以提供訪問(wèn)網(wǎng)絡(luò)上流量的內(nèi)容。
連續(xù)監(jiān)測(cè)也許是出于安全操作的最好防御。安全操作必須能夠產(chǎn)生、收集和查詢?nèi)罩疚募缰鳈C(jī)的日志和代理、認(rèn)證和歸屬日志。安全操作必須具有技能設(shè)置為執(zhí)行涵蓋了網(wǎng)絡(luò)所有關(guān)鍵的“瓶頸點(diǎn)”(入口和出口)的深度包檢測(cè)。許多商業(yè)監(jiān)測(cè)包也可用,與事件關(guān)聯(lián)引擎一樣。開源的替代方案也可以,但是卻拿不出在發(fā)生安全事故時(shí)或在事后剖析通常需要的專業(yè)支持團(tuán)隊(duì)。決定監(jiān)視什么和如何監(jiān)視這是一個(gè)重大的努力。
安全專業(yè)人士如果參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的特別出版物800-37,“聯(lián)邦信息系統(tǒng)運(yùn)用風(fēng)險(xiǎn)管理框架的指南:一種安全的生命周期方法”會(huì)做得很好。本文檔提供了連續(xù)監(jiān)測(cè)戰(zhàn)略的指導(dǎo)。高價(jià)值目標(biāo)(資產(chǎn))需要重點(diǎn)監(jiān)測(cè)。擁有當(dāng)前和相關(guān)威脅情報(bào)的安全操作,結(jié)合著廣泛和有針對(duì)性的監(jiān)測(cè)策略和技巧,可能抓住網(wǎng)絡(luò)刑事犯一個(gè)APT攻擊的行為。
3. 漏洞分析
沒(méi)有一個(gè)缺少弱點(diǎn)掃描器的安全工具包是完整的。這些工具對(duì)眾所周知的配置缺陷、系統(tǒng)漏洞和補(bǔ)丁級(jí)別提供當(dāng)前可用系統(tǒng)的審計(jì)。它們可以是全面的,能夠掃描多種不同的平臺(tái);也可以只對(duì)應(yīng)于特定的操作系統(tǒng);或者它們可以唯一地固定在一個(gè)單一的漏洞或服務(wù),如惡意軟件檢測(cè)工具。他們可以是非常地自動(dòng)化,只需要一個(gè)簡(jiǎn)單的啟動(dòng)命令,或者他們可能需要復(fù)雜的知識(shí)或完成一長(zhǎng)串的活動(dòng)。
使用漏洞掃描器,或委托這樣的掃描之前,需要時(shí)間來(lái)了解將會(huì)顯示什么樣的潛在結(jié)果。即使是簡(jiǎn)單的,單一的漏洞掃描程序也可能會(huì)不識(shí)別漏洞。相反,他們可能簡(jiǎn)單地表明,特定弱勢(shì)的服務(wù)是運(yùn)行在一臺(tái)計(jì)算機(jī)上的。更復(fù)雜的掃描可以產(chǎn)生數(shù)百頁(yè)的報(bào)告。所有的項(xiàng)目是什么意思?他們中有些項(xiàng)目可能是誤報(bào),有些可能需要高級(jí)的技術(shù)知識(shí)來(lái)了解或減輕;還有一些可能是漏洞,你對(duì)此無(wú)能為力。例如,運(yùn)行一個(gè)Web服務(wù)器確實(shí)讓你比你不運(yùn)行服務(wù)器更容易受到攻擊,但如果Web服務(wù)器是你組織運(yùn)作中至關(guān)重要的一部分,那么你必須同意承擔(dān)這個(gè)風(fēng)險(xiǎn)。
雖然漏洞掃描產(chǎn)品有所不同,重要的是要注意一個(gè)基本的漏洞評(píng)估和緩解不需要花哨的工具或昂貴的顧問(wèn)。免費(fèi)和可用的低成本工具,和脆弱性列表的許多免費(fèi)資源一起存在。特定的操作系統(tǒng)列表可以在互聯(lián)網(wǎng)上從操作系統(tǒng)供應(yīng)商獲得。
國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所出版了可免費(fèi)下載的“信息技術(shù)系統(tǒng)的自我評(píng)估指南”。雖然一些指南的具體情況可能只適用于政府機(jī)關(guān),但是大部分的建議對(duì)任何組織還是有用的;文檔提供了問(wèn)卷的格式,像一個(gè)審計(jì)師的工作表,可以幫助信息安全新人執(zhí)行評(píng)估。在調(diào)查問(wèn)卷中覆蓋了風(fēng)險(xiǎn)管理、安全控制、IT生命周期、系統(tǒng)安全計(jì)劃、人員安全、物理和環(huán)境的保護(hù)、輸入和輸出控制、應(yīng)急規(guī)劃、硬件和軟件的維護(hù)、數(shù)據(jù)的完整性、文檔、安全意識(shí)培訓(xùn)項(xiàng)目、事件響應(yīng)能力、識(shí)別和認(rèn)證、邏輯訪問(wèn)控制和審計(jì)跟蹤等問(wèn)題。
實(shí)踐六:充分部署事件響應(yīng)
一個(gè)組織的檢測(cè)能力和復(fù)雜攻擊的反應(yīng)能力是依賴于一個(gè)事件響應(yīng)小組的有效性和能力。這個(gè)團(tuán)隊(duì)由超過(guò)一個(gè)人組成,因?yàn)閷?duì)一個(gè)事件的響應(yīng)將由各種各樣的角色實(shí)施。從管理者到員工,內(nèi)部到外部的專業(yè)人士,如IT員工、業(yè)務(wù)合作伙伴、安全運(yùn)營(yíng)、人力資源、法律、財(cái)務(wù)、審計(jì)、公共關(guān)系和執(zhí)法。計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)是任何安全運(yùn)營(yíng)功能的重要組成部分。
卡內(nèi)基梅隆大學(xué)的CERT程序?yàn)槭录憫?yīng)提供了一個(gè)良好的模型和有用的材料。CERT成立于1988年,由國(guó)防部DARPA機(jī)構(gòu)資助,以應(yīng)付第一個(gè)自我繁殖的互聯(lián)網(wǎng)惡意軟件(被稱為“Morris蠕蟲”)的爆發(fā)。由康奈爾大學(xué)研究生羅伯特•莫里斯釋放到早期的互聯(lián)網(wǎng),莫里斯蠕蟲在電腦上自我復(fù)制和傳播,通過(guò)重載受害者電腦上無(wú)止境的任務(wù)以造成拒絕服務(wù)的攻擊。CERT為計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)提供了一個(gè)手冊(cè)。該指南涵蓋了從建議的框架到響應(yīng)小組會(huì)遇到的基本問(wèn)題。
為建立自己的事件響應(yīng)團(tuán)隊(duì)的CERT過(guò)程已提供給公眾,大家可以在www.cert.org找到,它包括以下步驟。
第一步,最可靠的努力,是從組織的高層管理人員獲得贊助。資金和資源都依賴于這種支持,所以團(tuán)隊(duì)的權(quán)威是從組織內(nèi)各部門借用人員。最終,團(tuán)隊(duì)的成功是與高層管理人員的支持相關(guān)的。
下一步是為事件響應(yīng)小組制定高級(jí)別戰(zhàn)略計(jì)劃。規(guī)劃目標(biāo)、時(shí)限和成員考慮到團(tuán)隊(duì)面臨的依賴和約束提供了一個(gè)實(shí)現(xiàn)CSIRT路線圖和項(xiàng)目計(jì)劃。
從組織中收集信息是在確定CSIRT的角色和它需要資源中重要的下一步。在這個(gè)步驟中,你發(fā)現(xiàn)你所需要的其他組織所擁有的資源,以及如何使用它們。例如,人力資源、法律、審計(jì)和通信(也許營(yíng)銷部)的代表,當(dāng)然還有IT,所有的這些人,可能還有更多,扮演不同的角色,他們各自有自己的目標(biāo)和在團(tuán)隊(duì)中他們想要看到的優(yōu)先級(jí)。在信息收集階段,你也將決定需要哪些外部資源參與,如執(zhí)法和公共CSIRT組織一樣。
創(chuàng)建和交流一個(gè)愿景、使命、章程以及下一步是規(guī)劃團(tuán)隊(duì)的未來(lái),而這些步驟提供了一個(gè)焦點(diǎn),可以幫助團(tuán)隊(duì)成員理解什么需要他們以及組織與CSIRT的交互方式。在這個(gè)步驟中CERT也包括預(yù)算編制。
所有的規(guī)劃完成后的下一步,就是創(chuàng)造團(tuán)隊(duì)。在這個(gè)步驟中,員工匯聚在一起訓(xùn)練,采購(gòu)設(shè)備來(lái)支持團(tuán)隊(duì)?wèi)椪轮卸x的功能。一旦團(tuán)隊(duì)已經(jīng)啟動(dòng)并運(yùn)行,通知被發(fā)送到整個(gè)組織和通信程序付諸實(shí)施。在一個(gè)計(jì)劃 - 執(zhí)行 - 檢查 - 行動(dòng)循環(huán)的精神中,最后一步是評(píng)估團(tuán)隊(duì)的效率,以深入了解作出改善。
事件響應(yīng)和安全小組論壇(FIRST)是另一個(gè)CSIRT組織,類似于CERT。他們自稱為“受信任的合作處理計(jì)算機(jī)安全事故的計(jì)算機(jī)事件響應(yīng)小組,促進(jìn)事故預(yù)防計(jì)劃的國(guó)際聯(lián)盟。”根據(jù)他們的任務(wù)說(shuō)明,F(xiàn)IRST 組織中的成員開發(fā)和共享技術(shù)信息、工具、方法、流程和最佳實(shí)踐;鼓勵(lì)和推動(dòng)優(yōu)質(zhì)安全的產(chǎn)品、政策和服務(wù)的開發(fā),制訂并推廣最佳的計(jì)算機(jī)安全實(shí)踐,以及利用他們的綜合知識(shí)、技能和經(jīng)驗(yàn),以促進(jìn)一個(gè)安全的和更安全的全球電子環(huán)境。
在今天混合威脅的環(huán)境下,一個(gè)單一組織的事件響應(yīng)團(tuán)隊(duì)將不足以提供所需的覆蓋范圍。安全操作必須配合有信譽(yù)的事件響應(yīng)組織。此外,安全運(yùn)營(yíng)組織需要有一定的無(wú)論在內(nèi)部或外部分析惡意軟件的等級(jí),因?yàn)檫@技能處于高需求的狀態(tài)。安全操作必須持續(xù)監(jiān)控和事件響應(yīng)優(yōu)先來(lái)滿足在當(dāng)今復(fù)雜的、網(wǎng)絡(luò)化的、全球經(jīng)濟(jì)所帶來(lái)的挑戰(zhàn)。阻止網(wǎng)絡(luò)罪犯的能力取決于該組織的檢測(cè)和響應(yīng)的承諾。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)安全管理的“六脈神劍”
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839517347.html